数据泄露频发，Chrome新扩展如何验证密码是否安全？

谷歌近日为Chrome推出了一个新扩展，能够自动检查用户的密码是否安全。尽管早有第三方开发者提供类似的功能，但官方的介入，显然更加可靠一些。简而言之，在安装该扩展之后，它会检查用户的所有登录信息，将凭证与已泄露的数据库想匹配，然后给出密码是否安全的提示。谷歌表示，该功能支持全美“大多数”站点。匹配数据库中包含了大约40亿组用户名和密码，如果不幸撞到，会及时向用户发出警告。密码泄露确实不幸，尤其是那些在各个服务平台上使用唯一用户名或密码的用户。即便某曝出了数据泄露，很多人也不会修改所有其它网站的密码。需要指出的是，在将客户端密码发送至匹配服务器之前，Chrome会将数据进行哈希加密处理。谷歌表示，鉴于密码检查依赖于机密的信息，所以该公司非常重视加密安全，确保无人能够查询用户的数据。数据库中的密码以散列和加密的形式存储，且生成的有关的任何警告，都是都完全在用户的计算机本地完成的。在谷歌之前，还有1Password等强大的密码管理器提供了类似的服务（集成Watchtower，可将用户密码与HaveIBeenPwned的泄露数据库作比较）。好处是，谷歌的扩展程序是免费的。如果您发现其中一个站点的密码被泄露，就可以借助Chrome内置的密码生成器，来生成一个新的密码。当然，网络信息安全是一场永不停止的攻防战。即便运用了如上措施（加上双因素认证），也无法保证万无一失（有其局限性）。像WebAuthn这样的标准，就强制要求采用硬件令牌来替代密码。它看起来很有前景，但目前只有极少的网站支持该表组合呢，因此未能真正普及开来。有鉴于此，我们还是只能重复已有的建议——使用靠谱的密码管理器、为每个站点创建唯一的密码、在听到数据泄露的第一时间修改任何受影响的网站服务密码、并适当启用双因素认证。PasswordCheckup扩展，下载地址（Chrome网上应用店）